Configura SAML e SCIM con Google Workspace e IAM Identity Center - AWS IAM Identity Center
ConsiderazioniFase 1: Google Workspace: configura l'applicazione SAMLFase 2: IAM Identity Center e Google Workspace: Modifica l'origine e la configurazione dell'identità di IAM Identity Center Google Workspace come provider di identità SAMLFase 3: Google Workspace: Abilita le appFase 4: IAM Identity Center: configurazione del provisioning automatico di IAM Identity CenterFase 5: Google Workspace: Configurazione del provisioning automaticoPassaggio di attributi per il controllo degli accessi - FacoltativoAssegna l'accesso a Account AWSPassaggi successiviRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura SAML e SCIM con Google Workspace e IAM Identity Center

Se la tua organizzazione utilizza Google Workspace puoi integrare i tuoi utenti da Google Workspace in IAM Identity Center per consentire loro di accedere alle AWS risorse. È possibile ottenere questa integrazione modificando la fonte di identità IAM Identity Center dalla fonte di identità IAM Identity Center predefinita a Google Workspace.

Informazioni utente da Google Workspace è sincronizzato in IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) 2.0. Per ulteriori informazioni, consulta Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni.

Si configura questa connessione in Google Workspace utilizzando il tuo endpoint SCIM per IAM Identity Center e un token bearer IAM Identity Center. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente in Google Workspace agli attributi denominati in IAM Identity Center. Questa mappatura corrisponde agli attributi utente previsti tra IAM Identity Center e Google Workspace. Per fare ciò, è necessario configurare Google Workspace come provider di identità IAM e provider di identità IAM Identity Center.

Obiettivo

I passaggi di questo tutorial ti aiutano a stabilire la connessione SAML tra Google Workspace e. AWS Successivamente, sincronizzerai gli utenti da Google Workspace utilizzando SCIM. Per verificare che tutto sia configurato correttamente, dopo aver completato i passaggi di configurazione effettuerai l'accesso come Google Workspace utente e verifica l'accesso alle AWS risorse. Nota che questo tutorial si basa su un piccolo Google Workspace ambiente di test delle directory. Le strutture di directory come i gruppi e le unità organizzative non sono incluse in questo tutorial. Dopo aver completato questo tutorial, i tuoi utenti potranno accedere al portale di AWS accesso con il Google Workspace credenziali.

Nota

Per iscriverti a una prova gratuita di Google Workspace visita Google Workspacesu Google's sito web.

Se non hai ancora abilitato IAM Identity Center, consultaAbilita IAM Identity Center.

Considerazioni

  • Prima di configurare il provisioning SCIM tra Google Workspace e IAM Identity Center, ti consigliamo di esaminarlo prima. Considerazioni sull'utilizzo del provisioning automatico

  • Sincronizzazione automatica SCIM da Google Workspace è attualmente limitato al provisioning degli utenti. Il provisioning automatico di gruppo non è attualmente supportato. I gruppi possono essere creati manualmente con il comando create-group di AWS CLI Identity Store o l'API AWS Identity and Access Management (IAM). CreateGroup In alternativa, puoi usare ssosync per la sincronizzazione Google Workspace utenti e gruppi in IAM Identity Center.

  • Ogni Google Workspace per l'utente deve essere specificato il valore Nome, Cognome, Nome utente e Nome visualizzato.

  • Ciascuno Google Workspace l'utente ha un solo valore per attributo di dati, ad esempio l'indirizzo e-mail o il numero di telefono. Tutti gli utenti con più valori non riusciranno a sincronizzarsi. Se alcuni utenti hanno più valori nei propri attributi, rimuovi gli attributi duplicati prima di tentare di eseguire il provisioning dell'utente in IAM Identity Center. Ad esempio, è possibile sincronizzare solo un attributo del numero di telefono, poiché l'attributo del numero di telefono predefinito è «telefono aziendale», utilizza l'attributo «telefono aziendale» per memorizzare il numero di telefono dell'utente, anche se il numero di telefono dell'utente è un telefono di casa o un telefono cellulare.

  • Gli attributi sono ancora sincronizzati se l'utente è disabilitato in IAM Identity Center, ma è ancora attivo in Google Workspace.

  • Se esiste un utente esistente nella directory di Identity Center con lo stesso nome utente e lo stesso indirizzo e-mail, l'utente verrà sovrascritto e sincronizzato utilizzando SCIM da Google Workspace.

  • Quando si modifica l'origine dell'identità, sono necessarie ulteriori considerazioni. Per ulteriori informazioni, consulta Passaggio da IAM Identity Center a un IdP esterno.

Fase 1: Google Workspace: configura l'applicazione SAML

  1. Accedi al tuo Google Console di amministrazione che utilizza un account con privilegi di super amministratore.

  2. Nel pannello di navigazione a sinistra del tuo Google Console di amministrazione, scegli App, quindi scegli App Web e per dispositivi mobili.

  3. Nell'elenco a discesa Aggiungi app, seleziona Cerca app.

  4. Nella casella di ricerca inserisci Amazon Web Services, quindi seleziona l'app Amazon Web Services (SAML) dall'elenco.

  5. Sul Google Dettagli dell'Identity Provider - pagina Amazon Web Services, puoi effettuare una delle seguenti operazioni:

    1. Scarica i metadati IdP.

    2. Copia l'URL SSO, l'URL dell'Entity ID e le informazioni sul certificato.

    Avrai bisogno del file XML o delle informazioni sull'URL nel passaggio 2.

  6. Prima di passare alla fase successiva di Google Console di amministrazione, lascia aperta questa pagina e passa alla console IAM Identity Center.

Fase 2: IAM Identity Center e Google Workspace: Modifica l'origine e la configurazione dell'identità di IAM Identity Center Google Workspace come provider di identità SAML

  1. Accedi alla console IAM Identity Center utilizzando un ruolo con autorizzazioni amministrative.

  2. Scegli Impostazioni nel riquadro di navigazione a sinistra.

  3. Nella pagina Impostazioni, scegli Azioni, quindi scegli Cambia origine dell'identità.

    • Se non hai abilitato IAM Identity Center, consulta Abilita IAM Identity Center per ulteriori informazioni. Dopo aver abilitato e effettuato l'accesso a IAM Identity Center per la prima volta, arriverai alla Dashboard dove potrai selezionare Scegli la tua fonte di identità.

  4. Nella pagina Scegli l'origine dell'identità, seleziona Provider di identità esterno, quindi scegli Avanti.

  5. Viene visualizzata la pagina Configura provider di identità esterno. Per completare questa pagina e il Google Workspace nella pagina del Passaggio 1, è necessario completare quanto segue:

    1. Nella sezione dei metadati di Identity Provider nella console IAM Identity Center, dovrai eseguire una delle seguenti operazioni:

      1. Carica il Google Metadati SAML come metadati IdP SAML nella console IAM Identity Center.

      2. Copia e incolla il Google URL SSO nel campo URL di accesso IdP, Google URL dell'emittente nel campo URL dell'emittente IdP e carica il Google Certificato come certificato IdP.

  6. Dopo aver fornito il Google nella sezione dei metadati di Identity Provider della console IAM Identity Center, copia l'URL IAM Identity Assertion Consumer Service (ACS) e l'URL dell'emittente di IAM Identity Center. Dovrai fornirli nel URLs Google Console di amministrazione nel passaggio successivo.

  7. Lascia la pagina aperta con la console IAM Identity Center e torna al Google Console di amministrazione. Dovresti trovarti nella pagina dei dettagli di Amazon Web Services - Service Provider. Seleziona Continua.

  8. Nella pagina dei dettagli del fornitore di servizi, inserisci i valori ACS URL e Entity ID. Hai copiato questi valori nel passaggio precedente e sono disponibili nella console IAM Identity Center.

    • Incolla l'URL IAM Identity Center Assertion Consumer Service (ACS) nel campo URL ACS

    • Incolla l'URL dell'emittente di IAM Identity Center nel campo Entity ID.

  9. Nella pagina dei dettagli del fornitore di servizi, completa i campi sotto Name ID come segue:

    • Per il formato Name ID, seleziona EMAIL

    • Per Name ID, seleziona Informazioni di base > Email principale

  10. Scegli Continua.

  11. Nella pagina Mappatura degli attributi, in Attributi, scegli AGGIUNGI MAPPATURA, quindi configura questi campi in Google Attributo di directory:

    • Per l'attributo https://aws.amazon.com/SAML/Attributes/RoleSessionName app, seleziona il campo Informazioni di base, Email principale dal Google Directory attributi.

    • Per l'attributo dell'https://aws.amazon.com/SAML/Attributes/Roleapp, seleziona qualsiasi Google Directory attributi. A Google L'attributo di directory potrebbe essere Department.

  12. Scegli Finish

  13. Torna alla console IAM Identity Center e scegli Avanti. Nella pagina Rivedi e conferma, esamina le informazioni, quindi inserisci ACCEPT nell'apposito spazio. Scegli Cambia fonte di identità.

Ora sei pronto per abilitare l'app Amazon Web Services in Google Workspace in modo che i tuoi utenti possano essere inseriti in IAM Identity Center.

Fase 3: Google Workspace: Abilita le app

  1. Torna a Google La console di amministrazione e la tua AWS IAM Identity Center applicazione, che puoi trovare in App e app Web e mobili.

  2. Nel pannello Accesso utente accanto a Accesso utente, scegli la freccia rivolta verso il basso per espandere l'accesso utente e visualizzare il pannello di stato del servizio.

  3. Nel pannello Stato del servizio, scegli ON per tutti, quindi scegli SALVA.

Nota

Per contribuire a mantenere il principio del privilegio minimo, dopo aver completato questo tutorial, ti consigliamo di modificare lo stato del servizio su OFF per tutti. Solo gli utenti che devono accedere a AWS devono avere il servizio abilitato. È possibile utilizzare… Google Workspace gruppi o unità organizzative per consentire l'accesso degli utenti a un particolare sottoinsieme di utenti.

Fase 4: IAM Identity Center: configurazione del provisioning automatico di IAM Identity Center

  1. Torna alla console IAM Identity Center.

  2. Nella pagina Impostazioni, individua la casella Informazioni sul provisioning automatico, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.

  3. Nella finestra di dialogo di provisioning automatico in entrata, copia ciascuno dei valori per le seguenti opzioni. Nel passaggio 5 di questo tutorial, inserirete questi valori per configurare il provisioning automatico in Google Workspace.

    1. Endpoint SCIM: ad esempio, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token di accesso: scegli Mostra token per copiare il valore.

    avvertimento

    Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti.

  4. Scegli Chiudi.

    Ora che hai configurato il provisioning nella console IAM Identity Center, nel passaggio successivo configurerai il provisioning automatico in Google Workspace.

Fase 5: Google Workspace: Configurazione del provisioning automatico

  1. Tornare a Google La console di amministrazione e la tua AWS IAM Identity Center applicazione, che puoi trovare in App e app Web e mobili. Nella sezione Provisioning automatico, scegli Configura il provisioning automatico.

  2. Nella procedura precedente, hai copiato il valore del token di accesso nella console IAM Identity Center. Incolla quel valore nel campo del token di accesso e scegli Continua. Inoltre, nella procedura precedente, hai copiato il valore dell'endpoint SCIM nella console IAM Identity Center. Incolla quel valore nel campo Endpoint URL e scegli Continua.

  3. Verifica che tutti gli attributi obbligatori di IAM Identity Center (quelli contrassegnati con *) siano mappati su Google Cloud Directory attributi. In caso contrario, scegliete la freccia rivolta verso il basso e mappate l'attributo appropriato. Scegli Continua.

  4. Nella sezione Provisioning scope, puoi scegliere un gruppo con Google Workspace directory per fornire l'accesso all'app Amazon Web Services. Salta questo passaggio e seleziona Continua.

  5. Nella sezione Deprovisioning, puoi scegliere come rispondere a diversi eventi che rimuovono l'accesso a un utente. Per ogni situazione è possibile specificare il periodo di tempo prima che inizi il deprovisioning per:

    • entro 24 ore

    • dopo un giorno

    • dopo sette giorni

    • dopo 30 giorni

    In ogni situazione è previsto un orario in cui sospendere l'accesso di un account e quando eliminare l'account.

    Suggerimento

    Imposta sempre più tempo prima di eliminare l'account di un utente piuttosto che sospendere l'account di un utente.

  6. Scegli Fine. Verrai reindirizzato alla pagina dell'app Amazon Web Services.

  7. Nella sezione Provisioning automatico, attiva l'interruttore a levetta per modificarlo da Inattivo a Attivo.

    Nota

    Il cursore di attivazione è disabilitato se IAM Identity Center non è attivato per gli utenti. Scegli Accesso utente e attiva l'app per abilitare lo slider.

  8. Nella finestra di dialogo di conferma, scegli Attiva.

  9. Per verificare che gli utenti siano sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli Utenti. La pagina Utenti elenca gli utenti del Google Workspace directory create da SCIM. Se gli utenti non sono ancora elencati, è possibile che il provisioning sia ancora in corso. Il provisioning può richiedere fino a 24 ore, anche se nella maggior parte dei casi viene completato in pochi minuti. Assicurati di aggiornare la finestra del browser ogni pochi minuti.

    Seleziona un utente e visualizzane i dettagli. Le informazioni devono corrispondere a quelle contenute nel Google Workspace elenco.

Complimenti!

Hai configurato correttamente una connessione SAML tra Google Workspace AWS e hai verificato che il provisioning automatico funzioni. Ora puoi assegnare questi utenti ad account e applicazioni in IAM Identity Center. Per questo tutorial, nel passaggio successivo designiamo uno degli utenti come amministratore di IAM Identity Center concedendo loro le autorizzazioni amministrative per l'account di gestione.

Passaggio di attributi per il controllo degli accessi - Facoltativo

Facoltativamente, puoi utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta Passing session tag AWS STS in the IAM User Guide.

Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, usa il seguente attributo.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.

Assegna l'accesso a Account AWS

I seguenti passaggi sono necessari solo per concedere l'accesso a Account AWS . Questi passaggi non sono necessari per concedere l'accesso alle AWS applicazioni.

Fase 1: IAM Identity Center: concessione Google Workspace accesso degli utenti agli account

  1. Torna alla console IAM Identity Center. Nel riquadro di navigazione di IAM Identity Center, in Autorizzazioni multiaccount, scegli. Account AWS

  2. Nella Account AWSpagina, la struttura organizzativa mostra la radice dell'organizzazione con gli account sottostanti nella gerarchia. Seleziona la casella di controllo per il tuo account di gestione, quindi seleziona Assegna utenti o gruppi.

  3. Viene visualizzato il flusso di lavoro Assegna utenti e gruppi. Consiste in tre fasi:

    1. Per il passaggio 1: Seleziona utenti e gruppi scegli l'utente che svolgerà la funzione di amministratore. Quindi scegli Successivo.

    2. Per il Passaggio 2: Seleziona i set di autorizzazioni, scegli Crea set di autorizzazioni per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare un set di autorizzazioni.

      1. Per la Fase 1: Seleziona il tipo di set di autorizzazioni, completa quanto segue:

        • In Tipo di set di autorizzazioni, scegli Set di autorizzazioni predefinito.

        • In Politica per il set di autorizzazioni predefinito, scegli. AdministratorAccess

        Scegli Next (Successivo).

      2. Per la Fase 2: Specificate i dettagli del set di autorizzazioni, mantenete le impostazioni predefinite e scegliete Avanti.

        Le impostazioni predefinite creano un set di autorizzazioni denominato AdministratorAccess con la durata della sessione impostata su un'ora.

      3. Per il passaggio 3: revisione e creazione, verifica che il tipo di set di autorizzazioni utilizzi la politica AWS gestita AdministratorAccess. Scegli Create (Crea) . Nella pagina Set di autorizzazioni viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato. Ora puoi chiudere questa scheda nel tuo browser web.

      4. Nella scheda Assegna utenti e gruppi del browser, sei ancora al Passaggio 2: Seleziona i set di autorizzazioni da cui hai avviato il flusso di lavoro per la creazione del set di autorizzazioni.

      5. Nell'area dei set di autorizzazioni, scegli il pulsante Aggiorna. Il set di AdministratorAccess autorizzazioni creato viene visualizzato nell'elenco. Seleziona la casella di controllo relativa al set di autorizzazioni, quindi scegli Avanti.

    3. Per il passaggio 3: revisione e invio, esamina l'utente e il set di autorizzazioni selezionati, quindi scegli Invia.

      La pagina si aggiorna con un messaggio che indica Account AWS che stai configurando. Attendi il completamento del processo.

      Verrai reindirizzato alla Account AWS pagina. Un messaggio di notifica ti informa che il tuo Account AWS è stato riassegnato e che il set di autorizzazioni aggiornato è stato applicato. Una volta effettuato l'accesso, l'utente avrà la possibilità di scegliere il ruolo. AdministratorAccess

      Nota

      Sincronizzazione automatica SCIM da Google Workspace supporta solo il provisioning degli utenti. Il provisioning automatico di gruppo non è supportato in questo momento. Non puoi creare gruppi per i tuoi Google Workspace utenti che utilizzano AWS Management Console. Dopo aver effettuato il provisioning degli utenti, puoi creare gruppi utilizzando il comando create-group di AWS CLI Identity Store o l'API IAM. CreateGroup

Fase 2: Google Workspace: Conferma Google Workspace accesso degli utenti alle AWS risorse

  1. Accedi a Google utilizzando un account utente di prova. Per sapere come aggiungere utenti a Google Workspace, vedi Google Workspace documentazione.

  2. Seleziona il Google apps icona di avvio (waffle).

  3. Scorri fino alla fine dell'elenco delle app personalizzate Google Workspace si trovano le app. Viene visualizzata l'app Amazon Web Services.

  4. Seleziona l'app Amazon Web Services. Hai effettuato l' AWS accesso al portale di accesso e puoi vedere l' Account AWS icona. Espandi l'icona per visualizzare l'elenco a Account AWS cui l'utente può accedere. In questo tutorial hai utilizzato solo un account, quindi espandendo l'icona viene visualizzato solo un account.

  5. Seleziona l'account per visualizzare i set di autorizzazioni disponibili per l'utente. In questo tutorial hai creato il set di AdministratorAccessautorizzazioni.

  6. Accanto al set di autorizzazioni ci sono i link relativi al tipo di accesso disponibile per quel set di autorizzazioni. Quando è stato creato il set di autorizzazioni, è stato specificato che sia la console di gestione che l'accesso programmatico fossero abilitati, quindi queste due opzioni sono presenti. Seleziona Console di gestione per aprire. AWS Management Console

  7. L'utente ha effettuato l'accesso alla console.

Passaggi successivi

Ora che hai configurato Google Workspace in qualità di provider di identità e utenti con provisioning in IAM Identity Center, puoi:

  • Utilizza il comando create-group di AWS CLI Identity Store o l'API IAM CreateGroupper creare gruppi per i tuoi utenti.

    I gruppi sono utili per assegnare l'accesso a Account AWS applicazioni e applicazioni. Anziché assegnare ogni utente singolarmente, concedi le autorizzazioni a un gruppo. Successivamente, quando aggiungi o rimuovi utenti da un gruppo, l'utente ottiene o perde dinamicamente l'accesso agli account e alle applicazioni che hai assegnato al gruppo.

  • Configura le autorizzazioni in base alle funzioni lavorative, vedi Creare un set di autorizzazioni.

    I set di autorizzazioni definiscono il livello di accesso di utenti e gruppi a un Account AWS. I set di autorizzazioni sono archiviati in IAM Identity Center e possono essere assegnati a uno o più Account AWS. Puoi assegnare più set di autorizzazioni a un utente.

Nota

In qualità di amministratore di IAM Identity Center, a volte dovrai sostituire i vecchi certificati IdP con quelli più recenti. Ad esempio, potrebbe essere necessario sostituire un certificato IdP quando si avvicina la data di scadenza del certificato. Il processo di sostituzione di un certificato precedente con uno più recente viene definito rotazione dei certificati. Assicurati di leggere come gestire i certificati SAML per Google Workspace.

Risoluzione dei problemi

Per la risoluzione generale dei problemi SCIM e SAML con Google Workspace, consulta le seguenti sezioni:

Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS

  • AWS re:Post- Trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.

  • Supporto AWS- Richiedere supporto tecnico